2024 年 5 月 13 日至 5 月 19 日每周 WordPress 漏洞报告

WP-Firewall 每周 WordPress 漏洞报告（2024 年 5 月 13 日至 2024 年 5 月 19 日）

在不断发展的 WordPress 安全领域，保持领先地位以防范漏洞至关重要。在 WP-Firewall，我们的使命是提供强大的保护和及时的更新以保护您的 WordPress 网站。本周，我们将深入研究 2024 年 5 月 13 日至 2024 年 5 月 19 日报告的最新漏洞，以及 WP-Firewall 如何保护您免受这些威胁。

WordPress 安全中警惕的重要性

WordPress 为网络的 40% 提供支持，使其成为网络攻击的主要目标。随着新漏洞的不断发现，制定主动的安全策略至关重要。WP-Firewall 不仅提供强大的防火墙插件，还提供全面的安全服务，以确保您的网站保持安全。

漏洞概述

过去一周，82 个 WordPress 插件和 8 个 WordPress 主题中披露了 107 个漏洞。这些漏洞由 42 名研究人员贡献，彰显了 WordPress 安全社区的协作努力。以下是漏洞的详细分类：

未修补和已修补的漏洞总数

– 已修补: 96
– 未打补丁: 11

按 CVSS 严重程度划分的漏洞总数

– 中等严重性： 86
– 高严重性： 14
– 严重程度： 7

按 CWE 类型划分的漏洞总数

– 跨站点脚本 (XSS): 61
– 缺少授权：17
– 跨站请求伪造 (CSRF)：7
– SQL注入：3
– 无限制文件上传：3
– 路径遍历：2
– 身份验证绕过：1
– 访问控制不当：1
– 服务器端请求伪造 (SSRF)：1
– 打开重定向：1

使用 WP-Firewall 增强保护

在 WP-Firewall，我们不断监控和更新防火墙规则，以防范新威胁。我们的高级用户可以收到实时更新，确保立即防范新出现的漏洞。以下是上周部署的新防火墙规则：

– WAF-RULE-700：当我们与供应商合作开发补丁时，数据被删除。
– WAF-RULE-699：当我们与供应商合作开发补丁时，数据被删除。

Premium、Care 和 Response 客户可立即获得此保护，而免费版用户将在 30 天后收到这些更新。

重点漏洞

严重漏洞

1. Kognetiks Chatbot for WordPress <= 2.0.0 – 未经身份验证的任意文件上传
– CVSS 评分：10.0
– CVE-ID：CVE-2024-32700
- 补丁状态：已修补
– 发布日期：2024 年 5 月 13 日

2. 构建在线应用 <= 1.0.21 – 通过标头绕过身份验证
– CVSS 评分：9.8
– CVE 编号：CVE-2024-3658
- 补丁状态：未补丁
– 发布日期：2024 年 5 月 17 日

3. Fluent Forms 的联系表单插件 <= 5.1.16 – 缺少授权**
– CVSS 评分：9.8
– CVE 编号：CVE-2024-2771
- 补丁状态：已修补
– 发布日期：2024 年 5 月 17 日

高严重性漏洞

1. 一体化视频库 <= 3.6.5 – 经过身份验证的本地文件包含**
– CVSS 评分：8.8
– CVE 编号：CVE-2024-4670
- 补丁状态：已修补
– 发布日期：2024 年 5 月 14 日

2. **Alt Text AI <= 1.4.9 – 经过身份验证的 SQL 注入**
CVSS 评分：8.8
– **CVE-ID**：CVE-2024-4847
– **补丁状态**：已修补
– **发布日期：** 2024 年 5 月 14 日

3. **Icegram Express 电子邮件订阅者 <= 5.7.19 – 缺少授权**
CVSS 评分：8.8
– **CVE-ID**：CVE-2024-4010
– **补丁状态**：已修补
– **发布日期：** 2024 年 5 月 14 日

WP-Firewall 对安全的承诺

WP-Firewall 团队致力于为您的 WordPress 提供最高级别的安全性## WP-Firewall 每周 WordPress 漏洞报告（2024 年 5 月 13 日至 2024 年 5 月 19 日）

WP-Firewall 的使命

在不断发展的 WordPress 安全领域，保持领先地位以防范漏洞至关重要。在 WP-Firewall，我们的使命是提供强大的保护和及时的更新以保护您的 WordPress 网站。本周，我们将深入研究 2024 年 5 月 13 日至 2024 年 5 月 19 日报告的最新漏洞，以及 WP-Firewall 如何保护您免受这些威胁。

WordPress 安全中警惕的重要性

WordPress 为网络的 40% 提供支持，使其成为网络攻击的主要目标。随着新漏洞的不断发现，制定主动的安全策略至关重要。WP-Firewall 不仅提供强大的防火墙插件，还提供全面的安全服务，以确保您的网站保持安全。

使用 WP-Firewall 增强保护

在 WP-Firewall，我们不断监控和更新防火墙规则，以防范新威胁。我们的高级用户会收到实时更新，确保立即防范新出现的漏洞。WP-Firewall 团队致力于为您的 WordPress 提供最高级别的安全性

最新的 WordPress 漏洞报告：WP-Firewall 视角

WordPress 生态系统是一个充满活力和生机的空间，但它也吸引了大量恶意活动。每周都会发现新的漏洞，攻击者不断寻找利用这些漏洞的方法。这就是为什么了解最新威胁对于每个 WordPress 网站所有者都至关重要。

本报告重点介绍了 82 个插件和 8 个主题中存在的 107 个漏洞。虽然这个数字看起来令人生畏，但它凸显了主动安全措施的重要性。

WP-Firewall：抵御最新威胁的盾牌

在 WP-Firewall，我们了解这些漏洞的严重性。我们致力于为用户提供最强大、最新的安全解决方案，以保护他们的 WordPress 网站。我们的安全方法是多层次的，包括：

• 强大的防火墙l：我们的防火墙旨在拦截恶意流量，并在攻击到达您的网站之前阻止它们。我们会不断更新防火墙规则，以应对最新威胁，包括 Wordfence 报告中重点介绍的威胁。
• Real-Time Threat Detection：我们利用先进的威胁情报来识别和阻止已知的恶意行为者和攻击模式。这种主动方法可确保您的网站免受最常见和新出现的威胁。
• 漏洞扫描： 我们提供全面的漏洞扫描服务，以识别和修复 WordPress 安装、插件和主题中的潜在漏洞。这可以帮助您保持领先地位，并在漏洞被利用之前解决它们。
• 专家支持： 我们的安全专家团队全天候待命，提供有关 WordPress 安全各个方面的支持和指导。我们可以帮助您了解最新威胁、实施最佳实践并应对安全事件。

报告要点

该报告揭示了 WordPress 网站所有者应该注意的几个主要趋势：

• 跨站点脚本（XSS）的流行程度： XSS 漏洞是报告的最常见漏洞类型，占 107 个漏洞中的 61 个。XSS 攻击允许攻击者将恶意脚本注入您的网站，从而可能窃取用户数据、将用户重定向到恶意网站或控制您的网站。
• 严重漏洞： 该报告还强调了几个严重漏洞，包括影响 Kognetiks Chatbot 和 Build App Online 等热门插件的漏洞。这些漏洞可能让攻击者完全控制你的网站，因此必须立即修补它们。
• 未修补的漏洞： 虽然 Wordfence 报告中报告的许多漏洞都已得到修补，但仍有 11 个漏洞尚未修补。这意味着使用这些插件或主题的网站仍然面临受到攻击的风险。

WP-Firewall's 的回应：保护您的网站

WP-Firewall 正在积极努力保护我们的用户免受 Wordfence 报告中强调的漏洞的影响。我们已经实施了增强的防火墙规则来阻止针对这些漏洞的攻击。

报告之外：WordPress 安全性的主动方法

虽然及时了解最新漏洞至关重要，但采取主动的 WordPress 安全措施也同样重要。以下是每个 WordPress 网站所有者都应遵循的一些最佳做法：

• 保持 WordPress 核心、插件和主题更新： 定期更新您的 WordPress 核心、插件和主题，以确保您运行的是带有最新安全补丁的最新版本。
• 使用强密码： 为您的 WordPress 管理员帐户和其他用户帐户选择强密码。避免使用常用密码，并考虑使用密码管理器来生成和存储强密码。
• 启用双因素身份验证 (2FA)： 2FA 要求用户除了输入密码外，还需输入移动设备上的验证码，从而增加一层安全保护。这让攻击者更难访问您的网站。
• 限制用户权限： 仅授予用户执行任务所需的最低权限。这有助于防止未经授权访问敏感数据和设置。
• 定期备份您的网站： 定期备份对于在发生安全事件时恢复您的网站至关重要。考虑使用可靠的备份插件或服务来自动化备份过程。
• 警惕网络钓鱼攻击： 网络钓鱼攻击是攻击者获取您网站访问权限的常用方法。点击电子邮件或社交媒体中的链接时请务必谨慎，并在输入登录凭据之前务必验证任何网站的真实性。

WP-Firewall：您值得信赖的 WordPress 安全合作伙伴

情报报告清楚地提醒我们，WordPress 安全始终面临威胁。在 WP-Firewall，我们致力于为用户提供确保安全所需的工具和专业知识。我们鼓励您采取主动措施保护您的网站，如果您有任何问题或疑虑，请联系我们。

我们可以共同努力，让 WordPress 生态系统成为对每个人都更加安全的地方。